等级保护备案上海具体怎么办理

　　Q1：如何选择等级保护备案所在地？

　　答：建议根据被测评业务系统的经营主体与法人注册地优先向当地公安网警（公共信息网络安全监察局）备案并找本地测评机构测评。或可选择IT运维团队所在地进行备案与测评。

　　Q2：如何选择测评机构开展测评？

　　答：选择有测评资质的测评公司，优先考虑本地测评公司。可参照中国网络安全等级保护网（//djbh.net）的《全国网络安全等级保护测评机构推荐目录》选中几家进行邀请投标，同时关注该网站公布的国家网络安全等级保护工作协调小组办公室的不定期整改公告中是否涉及相关测评公司。

　　Q3：如何确定业务系统属于等保几级？

　　答：可参照等级保护定级指南，从业务系统安全和系统服务安全两个方面评价当业务系统被破坏时对客体的影响程度，取两个方面较高的等级。

　　当确定系统级别后，可开展专家评审对系统定级合理性进行审核。如有行业主管部门制订的定级依据，可直接参照采纳行业定级标准定级。

　　Q4：买/用哪些安全产品能过等保？

　　答：可根据实际情况，如考虑等保测评结果分数与等级、业务系统风险与防护要求等综合考虑安全通信网络防护、安全区域边界防护、安全计算环境防护、安全管理中心、安全建设与运维等投入。建议咨询的安全咨询服务机构定制解决方案。

　　Q5：现在还没做等保还来得及吗？有什么影响？

　　答：来得及。种一棵树，好的时间是十年前，其次是现在。可先根据定级备案要求和流程，先向公安递交定级备案文件，测评与整改预算提上日程，在经费未落实前，可以先进行系统定级、差距分析、整改计划制订等工作。

　　Q6：业务系统在云上，安全是云平台负责的吧？

　　答：根据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）附录D，云服务商根据提供的IaaS、PaaS、SaaS模式承担不同的平台安全责任。业务系统上云后，云租户与云平台服务商之间应遵循责任分担矩阵共同承担相应的安全责任。

　　Q7：做完等级保护测评后整改周期是多久？

　　答：无明确规定。可优先把高危风险及急需整改的内容先整改，不强制要求一次或一年内全部整改到位，安全建设及整改是一个持续性的工作。另外安全建设和安全整改本来就是日常安全工作的一部分内容，而不是因为做了等保测评才需要去做的。

　　Q8：等级保护有哪些规范标准？

　　答：等级保护涉及面广，相关的安全标准、规范、指南还有很多正在编制或修订中。常用的规范标准包括但不限于如下几个：

　　·GB/T31167-2014信息安全技术云计算服务安全指南

　　·GB/T31168-2014信息安全技术云计算服务安全能力要求

　　·GB/T36326-2018信息技术云计算云服务运营通用要求

　　·GB/T25058-2010信息安全技术信息系统安全等级保护实施指南

　　·GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求

　　·GB/T28448-2019信息安全技术网络安全等级保护测评要求

　　·GB/T22239-2019信息安全技术网络安全等级保护基本要求

　　·GB/T22240-2008信息安全技术信息系统安全等级保护定级指南

　　·GB/T36958-2018信息安全技术网络安全等级保护安全管理中心技术要求

　　·GM/T0054-2018信息系统密码应用基本要求

　　·GB/T35273-2020信息安全技术个人信息安全规范

　　Q9：等级保护步骤或流程是什么样的？

　　答：根据信息系统等级保护相关标准，等级保护工作总共分五个阶段，分别为：信息系统定级、是信息系统备案、是系统安全建设、是信息系统开始等级测评、主管单位定期开展监督检查。

　　Q10：有哪些情况系统定级无需专家评审？

　　答：信息系统运营使用单位有上级主管部门，且对信息系统的安全保护等级有定级指导意见或审核批准的，可无需在进行等级专家评审。

　　主管部门一般指行业的上级主管部门或监管部门。如果是跨地域联网运营使用的信息系统，则必须由上级主管部门审批，确保同类系统或分支系统在各地域分别定级的一致性。